11月23日，以“數(shù)字賦能共創(chuàng)未來——攜手構(gòu)建網(wǎng)絡(luò)空間命運(yùn)共同體”為主題的“世界互聯(lián)網(wǎng)大會·互聯(lián)網(wǎng)發(fā)展論壇”在烏鎮(zhèn)開幕。其中，主論壇聚焦全球網(wǎng)絡(luò)空間發(fā)展新熱點(diǎn)和新趨勢，圍繞“數(shù)字經(jīng)濟(jì)與科技抗疫”展開了熱烈的探討。

　　“中國抗疫成功經(jīng)驗有兩條：一是黨和政府的英明領(lǐng)導(dǎo)，二是數(shù)字技術(shù)的廣泛應(yīng)用”。奇安信董事長齊向東在主論壇演講中表示，誠然，數(shù)字技術(shù)不僅僅輔助流行病學(xué)調(diào)查，追蹤疑似病例，而且還滲入了生活中的方方面面，最大程度滿意了疫情期間的工作生活。然而，數(shù)字技術(shù)的大范圍應(yīng)用帶來了公民個人隱私數(shù)據(jù)的集中，這就在一定程度上加大了數(shù)據(jù)泄露的風(fēng)險。

　　另一方面，隨著《中華人民共和國個人信息保護(hù)法(草案)》(簡稱“草案”)的正式公布，個人信息處理過程中的行為主體、相關(guān)違法行為及懲罰力度做出了明確的規(guī)定。政企機(jī)構(gòu)將面對最高可達(dá)5000萬元(或者不超過年營收5%)的罰款，個人信息保護(hù)的壓力陡然增加。

　　作為新一代網(wǎng)絡(luò)安全領(lǐng)軍企業(yè)，奇安信基于內(nèi)生安全框架和全生命周期大數(shù)據(jù)安全保護(hù)能力，正式推出了奇安信個人信息保護(hù)解決方案，通過識別、防護(hù)、檢測、響應(yīng)恢復(fù)的閉環(huán)設(shè)計，幫助政企機(jī)構(gòu)做好個人信息的監(jiān)測與保護(hù)。

　　愈加嚴(yán)格的合規(guī)監(jiān)管

　　據(jù)奇安信數(shù)據(jù)安全專家介紹，關(guān)于個人信息安全相關(guān)違法行為主要包括兩類，第一類是對于個人信息的非法采集和使用;第二類是對于存儲的個人信息保護(hù)不力。

　　最新統(tǒng)計數(shù)據(jù)顯示，截至2020年6月，我國網(wǎng)民規(guī)模達(dá)9.4億，手機(jī)網(wǎng)民規(guī)模達(dá)9.32億，網(wǎng)站數(shù)量為468萬個，App數(shù)量有359萬個。面對如此海量的應(yīng)用，個別信息處理者從商業(yè)利益等出發(fā)，隨意收集、違法獲取、過度使用、非法買賣個人信息，已經(jīng)嚴(yán)重危害到人民群眾的生活安寧、生命健康和財產(chǎn)安全。

　　對此，“草案”對個人信息處理活動中個人的各項權(quán)利進(jìn)行了明確，包括知情權(quán)、決定權(quán)、查詢權(quán)、更正權(quán)、刪除權(quán)等，并要求個人信息處理者建立個人行使權(quán)利的申請受理和處理機(jī)制。

　　與此同時，“草案”明確了個人信息處理者的合規(guī)管理和保障個人信息安全等義務(wù)，要求其按照規(guī)定制定內(nèi)部管理制度和操作規(guī)程，采取相應(yīng)的安全技術(shù)措施，并指定負(fù)責(zé)人對其個人信息處理活動進(jìn)行監(jiān)督;定期對其個人信息活動進(jìn)行合規(guī)審計;對處理敏感個人信息、向境外提供個人信息等高風(fēng)險處理活動，事前進(jìn)行風(fēng)險評估;履行個人信息泄露通知和補(bǔ)救義務(wù)等。

　　“草案進(jìn)一步規(guī)范了個人信息的定義、個人的權(quán)利、個人信息處理者的義務(wù)、履行個人信息保護(hù)職責(zé)的部門，并明確了違反個人信息保護(hù)法的懲處力度(最高處以5000萬元以下或者上一年度營業(yè)額5%以下的罰款)。”奇安信數(shù)據(jù)安全專家說，個人信息保護(hù)應(yīng)受到空前的重視。

　　以內(nèi)生安全框架規(guī)劃個人信息保護(hù)

　　“個人信息安全的防護(hù)體系需要結(jié)合法規(guī)及業(yè)務(wù)業(yè)務(wù)需求，從頂層視角出發(fā),支撐各行業(yè)的建設(shè)模式從局部整改外掛式走向深度融合體系化。”奇安信數(shù)據(jù)安全專家說，在新形勢和新環(huán)境下，傳統(tǒng)防護(hù)手段已經(jīng)失效，需要用內(nèi)生安全來保障個人信息安全。內(nèi)生安全框架能指導(dǎo)不同行業(yè)輸出符合其特點(diǎn)的體系化、實戰(zhàn)化的網(wǎng)絡(luò)安全架構(gòu);通過分解為可落地實施的“十大工程五大任務(wù)”，推動個人信息保護(hù)等不同場景安全體系的規(guī)劃、建設(shè)和運(yùn)行。

　　作為第五大工程，“面向大數(shù)據(jù)應(yīng)用的數(shù)據(jù)安全防護(hù)”明確指出，數(shù)據(jù)集中導(dǎo)致風(fēng)險集中，數(shù)據(jù)流轉(zhuǎn)產(chǎn)生更多攻擊面。應(yīng)基于數(shù)據(jù)全生命周期及數(shù)據(jù)應(yīng)用場景，開展數(shù)據(jù)安全防護(hù)工作，保障大數(shù)據(jù)采集、存儲、傳輸、處理、使用、共享開放、銷毀安全。

　　基于該能力框架，奇安信推出了個人信息保護(hù)解決方案，針對政企機(jī)構(gòu)的個人信息安全保護(hù)做了完整的內(nèi)生安全設(shè)計，涉及隱私衛(wèi)士、數(shù)據(jù)防泄漏、天擎終端安全管理系統(tǒng)、安全訪問代理、應(yīng)急響應(yīng)、安全教育等多款產(chǎn)品和服務(wù)，通過識別、防護(hù)、檢測、響應(yīng)恢復(fù)的閉環(huán)流程，幫助政企機(jī)構(gòu)做好個人信息的監(jiān)測與保護(hù)。

　　個人信息保護(hù)三步走

　　奇安信數(shù)據(jù)安全專家強(qiáng)調(diào)，個人信息保護(hù)解決方案落地，至少包括個人信息治理、業(yè)務(wù)運(yùn)行過程控制、階段性專項治理三個步驟。

　　第一步，個人信息治理。個人信息治理通常需要達(dá)成四個基本目標(biāo)，促進(jìn)有效且合規(guī)使用個人信息，為客戶提供高質(zhì)量的服務(wù);鼓勵員工緊密合作，避免重復(fù)工作，以便更有效的利用資源;形成制度并為員工提供適當(dāng)?shù)墓ぞ呒爸С?，以便他們高質(zhì)量、一致性的執(zhí)行策略;讓組織能夠了解個人信息保護(hù)水平及問題，以便進(jìn)行更加有效的改進(jìn)。

　　想要達(dá)成上述四個基本目標(biāo)，首先就要完成內(nèi)部審計，并且追蹤每一條信息的來源和去向，它即從個人信息治理的角度，識別業(yè)務(wù)涉及的個人信息(相關(guān)個人敏感信息的判定參考 GB/T 35273 )，對個人隱私的影響，并提出降低或者消除這些影響的建議。

　　其次是進(jìn)行風(fēng)險評估，從而制定整體策略。一旦確定了風(fēng)險，就應(yīng)該審查現(xiàn)有的信息安全控制(虛擬和物理)，以確定它們是否足以緩解風(fēng)險?？紤]到業(yè)務(wù)流程、信息、人員、應(yīng)用程序和基礎(chǔ)架構(gòu)會不斷發(fā)生變化，所以伴隨著技術(shù)和安全風(fēng)險局面的不斷發(fā)展，企業(yè)事業(yè)單位應(yīng)該定期審查和監(jiān)控個人信息安全控制策略。

　　在完成了內(nèi)部審計和風(fēng)險評估的基礎(chǔ)上，依據(jù)內(nèi)部審計及風(fēng)險評估結(jié)果，進(jìn)一步梳理各個業(yè)務(wù)場景中個人信息使用的全生命周期，對各個環(huán)節(jié)落實制定相關(guān)策略、工具、措施(詳見后述業(yè)務(wù)運(yùn)行過程控制章節(jié))等，如下為某單位個人信息處理流程及表單示例。

　　第二步，業(yè)務(wù)運(yùn)行過程控制。奇安信數(shù)據(jù)安全專家強(qiáng)調(diào)，依據(jù)不同的業(yè)務(wù)場景，個人信息控制措施各有不同，因此需要明確您的業(yè)務(wù)需要獲取和已經(jīng)獲取了哪些個人信息，避免信息的過度采集，并對必要信息實現(xiàn)全生命周期防護(hù)。當(dāng)然，數(shù)據(jù)安全沒有絕對，因此政企機(jī)構(gòu)還應(yīng)制定并提前演練應(yīng)急響應(yīng)措施。

　　針對目前廣泛存在的信息過度采集，奇安信網(wǎng)神隱私衛(wèi)士可對個人信息采集的方式(自身采集/第三方采集)、使用權(quán)限(自身使用/第三方使用)、采集頻率、是否出境、是否與隱私政策描述實質(zhì)符合等進(jìn)行合規(guī)檢測，覆蓋收集規(guī)則、使用規(guī)則、條款狀態(tài)、用戶權(quán)益等7個類別，50多個檢測項，并且具備可擴(kuò)展的檢測能力。

　　針對終端層面的個人信息安全防護(hù)，奇安信天擎終端安全管理系統(tǒng)能夠及時阻斷違反政企機(jī)構(gòu)的個人信息保持策略的外部連接，還可以收效取證，協(xié)助抓獲內(nèi)鬼交易的黑手。該系統(tǒng)不僅準(zhǔn)確性高，更能適應(yīng)涉密單位的高安全要求。

　　同時，奇安信安全代理服務(wù)器對網(wǎng)頁傳輸?shù)膬?nèi)容、聊天工具傳輸內(nèi)容、郵件傳輸內(nèi)容以及個人信息竊取工具進(jìn)行實時安全防護(hù)，既能防止內(nèi)部敏感內(nèi)容外傳，也能夠抵擋外部惡意信息竊取行為，高效保障業(yè)務(wù)順暢穩(wěn)定運(yùn)行。

　　另外在數(shù)據(jù)層面，作為奇安信個人信息保護(hù)解決方案核心產(chǎn)品，奇安信網(wǎng)神數(shù)據(jù)防泄漏系統(tǒng)能夠幫助政企單位進(jìn)行數(shù)據(jù)安全治理，自動化發(fā)現(xiàn)敏感數(shù)據(jù)并集中展示，全面跟蹤數(shù)據(jù)使用過程，進(jìn)而及時發(fā)現(xiàn)內(nèi)部人員異常訪問行為并自動分析，然后基于業(yè)務(wù)流程及安全策略進(jìn)行自動處置，第一時間避免大規(guī)模數(shù)據(jù)泄露。

　　與此同時，為進(jìn)一步降低內(nèi)部員工泄露數(shù)據(jù)的風(fēng)險，針對權(quán)限過高的賬戶，奇安信特權(quán)帳號管理系統(tǒng)及特權(quán)會話管理系統(tǒng)能夠幫助政企機(jī)構(gòu)全生命周期的實施特權(quán)帳號管理工作，在降低內(nèi)部特權(quán)賬號安全風(fēng)險的同時，更能防范外部攻擊者利用泄露的特權(quán)賬號進(jìn)行敏感數(shù)據(jù)竊取，有效防范個人信息泄露。

　　需要注意的是，數(shù)據(jù)在使用和流轉(zhuǎn)的過程中，應(yīng)保證最小化使用原則。奇安信網(wǎng)神數(shù)據(jù)脫敏系統(tǒng)在進(jìn)行數(shù)據(jù)脫敏處理全過程中保持?jǐn)?shù)據(jù)不落地的原則，提高數(shù)據(jù)使用安全鏈條的完整性，并且具備靈活的脫敏方案，滿足數(shù)據(jù)分析、開發(fā)測試、數(shù)據(jù)共享、數(shù)據(jù)發(fā)布等場景需求。

　　第三步，階段性專項治理

　　個人信息保護(hù)應(yīng)該安排適當(dāng)?shù)呐嘤?xùn)、資源配置和管理重點(diǎn)，進(jìn)而在政企單位員工中培養(yǎng)一種個人信息安全文化。另外還可以有針對性的展開專項治理工作，包括信息泄露事情處置完成之后，即刻展開機(jī)會教育，以及結(jié)合國家法規(guī)宣傳，或者在合適的業(yè)務(wù)階段、時刻，進(jìn)行配合宣傳。

　　除了大力開展安全意識教育以外，還應(yīng)當(dāng)定期開展實戰(zhàn)攻防演練。近年來，各行業(yè)實戰(zhàn)攻防演練日益頻繁，主要是為了驗證安全防護(hù)能力，評估安全防護(hù)執(zhí)行程度，發(fā)現(xiàn)安全防護(hù)盲區(qū)，舉證安全隱患及其危害，給出整改意見并進(jìn)行有針對性的加固或者整體改善建議，同時對安全意識宣傳也是個很好契機(jī)。

　　當(dāng)然，萬一政企機(jī)構(gòu)發(fā)生個人信息泄露事件，還可以直接尋求奇安信CERT和奇安信安全服務(wù)團(tuán)隊的幫助。

　　據(jù)介紹，奇安信CERT致力于借助技術(shù)創(chuàng)新，為各主流企業(yè)級應(yīng)用軟件/系統(tǒng)做好漏洞監(jiān)測，能夠為企業(yè)級用戶提供高危漏洞、重大安全事件安全風(fēng)險通告和相關(guān)產(chǎn)品解決方案。尤其是在突發(fā)公共事件或重大活動保障中，將投入精兵強(qiáng)將實時響應(yīng)。

　　奇安信安全服務(wù)團(tuán)隊以攻防技術(shù)為核心，聚焦威脅檢測和響應(yīng)，通過提供咨詢規(guī)劃、威脅檢測、攻防演習(xí)、持續(xù)響應(yīng)、預(yù)警通告、安全運(yùn)營等一系列實戰(zhàn)化的服務(wù)。奇安信多次承擔(dān)國家級的重大活動網(wǎng)絡(luò)安全保障工作，擁有穩(wěn)定可靠的網(wǎng)絡(luò)安全服務(wù)體系——全維度管控、全網(wǎng)絡(luò)防護(hù)、全天候運(yùn)行、全領(lǐng)域覆蓋、全兵種協(xié)同、全線索閉環(huán)。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請及時聯(lián)系我們，本站將會在24小時內(nèi)處理完畢。